บริษัทความปลอดภัย Malwarebytes รายงานว่าพบช่องโหว่ zero-day ของ OS X สามารถสั่งแก้ไฟล์ sudoer ของระบบได้ ทำให้มัลแวร์สามารถแก้สิทธิการ sudo ไม่ต้องใส่รหัสผ่าน และติดตั้งแอพประสงค์ร้ายตัวอื่นๆ ลงในเครื่องแมคของผู้ใช้ได้เลย

ช่องโหว่ตัวนี้เกิดจากฟังก์ชัน DYLD_PRINT_TO_FILE ของ OS X เอง ที่เปิดให้รันสคริปต์เพื่อแก้ค่าไฟล์ใดๆ ในระบบ จนมัลแวร์นำไปใช้แก้ไฟล์ sudoer ที่กำหนดสิทธิการ sudo และเปิดโอกาสให้ติดตั้งแอพโดยผู้ใช้งานไม่รู้เรื่องได้เลย

แอปเปิลทราบข้อมูลช่องโหว่นี้จากนักวิจัยด้านความปลอดภัยมาก่อนแล้ว แต่ยังไม่แก้ไขอุดรูรั่ว ตอนนี้ผู้ใช้ OS X (รวมถึงรุ่นล่าสุด 10.10.4) ก็ต้องอยู่กับความเสี่ยงไปจนกว่าแอปเปิลจะออกแพตช์ครับ

ที่มา - Malwarebytes, Ars Technica